Ülkemizde kişisel verilerin korunması kanunu yürürlük tarihinden itibaren birçok değişiklikle karşılaşmıştır. Bunun en büyük sebebi teknolojiyle ayrılmaz bir bağı olan kişisel verilerin işlenmesi ve paylaşılması hızının gün geçtikçe artmasıdır. Kişisel Verilerin Korunması Kanunu bir çerçeve olmakla birlikte düzenlediği hükümlere ilişkin oldukça fazla ikincil mevzuata başvurulmaktadır. Kişisel Verileri Koruma Kurulu uygulamalarıyla yönetmelik ve tebliğlerin yanı sıra ilgililerinin faydalanabileceği rehberlere de yer verilmektedir. Ancak veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiştir. 

Kişisel Verileri Koruma kurumu tarafından 27.12.2023 tarihinde birçok yeni kurul kararı yayınlanmıştır. Haberimize konu olan kurul kararında "İlgili Kişinin Kişisel Verilerinin, Konakladığı Otel Çalışanı Tarafından Üçüncü Kişilerle Paylaşılması" nedeniyle veri sorumlusu otele 500.000 TL idari para cezası uygulanmasına karar verilmiştir. Kararın detaylarına bakacak olursak;

“İlgili kişinin kişisel verilerinin, konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması hakkında” Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1327 Sayılı Karar Özeti

Karar Tarihi : 03/08/2023
Karar No : 2023/1327
Konu Özeti : İlgili kişinin kişisel verilerinin konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması hakkında

Kuruma intikal eden şikayette  özetle; sosyal medya uygulamasından üçüncü bir kişi tarafından ilgili kişiye veri sorumlusuna ait otelde ikamet ettiği döneme ilişkin bilgiler ihtiva eden bir belge gönderildiği, ilgili kişinin bahsi geçen şahsa söz konusu belgenin kendisine nasıl ulaştığını sorduğunda şahsın otelde çalışan bir tanıdığından kendisine gönderilmesini istediğini belirttiği, bu belgenin veri sorumlusunun bünyesinde üretilen bir belge olduğu, söz konusu belgenin üzerinde yer alan ilgili kişinin isim ve konaklama bilgilerinin üçüncü kişilerin eline geçtiği, diğer yandan veri sorumlusunca aydınlatma yükümlülüğünün de yerine getirilmediği hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

İlgili Kişinin Kişisel Verisi Niteliğindeki E-posta Adresine Reklam Amaçlı İleti Gönderilebilir Mi? İlgili Kişinin Kişisel Verisi Niteliğindeki E-posta Adresine Reklam Amaçlı İleti Gönderilebilir Mi?

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

  • Kat hizmetleri görevlisi kişilerin gün içerisinde temizliğini yapacakları ve sorumlu olduğu odaların takibinin yapılabilmesi amaçlı Housekeeping Task Sheet isimli tek sayfalık matbu belge düzenlendiği, bu belgede müşterilerin yalnızca isim-soy isimlerinin ve oda numaralarının yer aldığı, ilgili belgenin otelcilik hizmeti sunan tüm şirketlerde kullanılan standart bir belge olduğu, 
  • Söz konusu belge kapsamında isim-soy isim bilgilerinin yer almasının farklı nedenleri bulunduğu, lüks hizmet sunan otellerin standartları gereği konaklayan misafirlerin kişisel ve özel hissettirilmesi amaçlı misafirlere soy isim ile seslenildiği, ayrıca acil durum yaşanması durumunda kat hizmetleri görevlisi kişilerin misafirlerin kontrollerini sağlamalarının gerektiği, bu noktada acil durumlarda kişiye seslenilebilmesi, doğru kişi olup olmadığının tespiti veya acil durum müdahale raporu oluşturulabilmesi için kat hizmetleri görevlisi kişilerin misafirlerin isim-soy isim bilgilerine hakim olmasının gerektiği,
  • Mezkûr belgenin Kat Hizmetleri Departmanı’nın fiziksel arşivinde anahtarı sınırlı sayıda kişide olacak şekilde kilitli dolaplar içerisinde saklandığı ve olayın gerçekleştiği dönemde 3 ayda bir periyodik olarak imha edildiği, 
  • İlgili kişi ile sosyal medya hesabı bulunan kişi arasında gerçekleştirilen görüşmenin tarihi itibarıyla ilgili kişiye ilişkin Housekeeping Task Sheet belgesinin imha edilmiş olduğu, haliyle herhangi bir kişi tarafından erişilmesinin mümkün olmadığı,
  • Housekeeping Task Sheet isimli belgenin aslının veri sorumlusunda bulunma imkanıdahi bulunmadığından veri sorumlusunun kayıtlarındaki belge ile uyuşup uyuşmadığının tespit edilmesinin mümkün olmadığı, ilgili kişinin şikayetine ek yapılan Housekeeping Task Sheet isimli belgenin içeriğinin okunamadığı, üzerinde bazı karalamalar olduğu, 
  • Veri sorumlusunun kişisel verilerin güvenliğini sağlamak üzere tüm önlemleri aldığı, bu doğrultuda veri sorumlusunun bu konuda gerekli soruşturmayı yürüttüğü ve paylaşım olasılığına dair herhangi bir bulguya rastlamadığı,
  • Öte yandan ilgili kişinin kişisel verilerini elde ettiğini iddia eden sosyal medya kullanıcısı ile konuşmalarında birçok çelişki yer aldığı, mevcut tüm bilgi ve belgeler çerçevesinde ilgili kişinin iddialarının gerçeği yansıtmadığı, ilgili kişinin Otel’de konakladığı bilgisini sosyal medyada paylaşmış olduğu, 
  • Belgenin orijinal olup olmadığı ile sosyal medya kullanıcısının varlığının tespiti açısından belirleyici olacağından Savcılık tarafından yürütülen soruşturmanın sonuçlanmasının beklenmesinin gerektiği, 
  • Diğer yandan, veri sorumlusunun misafirlerine ilişkin hazırlamış olduğu aydınlatma metinlerini misafirlerin verilerinin ilk elde edildiği sırada Registration Card vasıtasıyla sunduğu ve ilgili doküman kapsamında misafirlerini kişisel verileri işlenen süreçlere yönelik bilgilendirdiği, bununla birlikte matbu olarak sunulan aydınlatma metni haricinde otelde konaklayan ve konaklamayı planlayan herkes için açık bir şekilde internet sitesinde aydınlatma metninin bulunduğu, ilgili kişiye verilen yanıttan sonraki tarihte internet sitesinde bazı çalışmalar gerçekleştirildiği ve yeni URL adresleri eklendiği 

ifade edilmiştir. 

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1327 sayılı Kararı ile;

  • İlgili kişinin şikâyetine ve veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına konu edilen “Housekeeping Task Sheet” belgesinin oteldeki temizlik- bakım hizmetleri için görevleri ve programı belirlemek amacıyla oluşturulduğu ve Temizlik Görev Kâğıdı olarak çevrilebileceği, belge kapsamında işlemeye konu oluşturabilecek kişisel verilerin konaklayanın adı, soyadı, unvanı, konakladığı oda numarası, konakladığı odaya ilişkin bilgiler, giriş ve çıkış tarihi olduğu, bu belgenin Kat Hizmetleri Departmanı tarafından hazırlanarak, kat hizmetleri görevlisi olan kişilere verildiği, bu doğrultuda kat görevlilerinin konaklayan misafirlerin isim ve soy isimleri bilgilerine vakıf olduğu,
  • Kişisel verilerin işlenmesine ilişkin olarak, tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve tüm kişisel veri işleme faaliyetlerinin uygun olarak gerçekleştirilmesi gereken ilkelerin Kanun’un 4’üncü maddesinde düzenleme altına alındığı, 
  • Kanun’un 4’üncü maddesinin 2 numaralı fıkrasının (ç) bendinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi uyarınca işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasının, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiği,  
  • Her ne kadar veri sorumlusunca mezkur belgede isim-soy isim bilgilerinin yer almasının farklı nedenleri bulunduğu ifade edilmişse de, kat görevlilerinin temel faaliyet alanının bakım ve temizlik hizmetleri olduğu, hizmetlerin yürütülmesinin konaklayan kişinin adını-soyadını bilmesini gerektirmediği, veri sorumlusunun konaklayanları özel hissettirmek amacından yola çıkarak kişisel verilerin korunması hakkını göz ardı etmemesinin gerektiği, bu amacın kişisel verilerin korunması hakkı karşısında mutlak olarak korunmaya değer bir menfaat niteliği taşımadığı, mahremiyet bilincinin yaygınlaştığı günümüzde konaklayanların pek çoğu tarafından da kişisel verilerinin isteği ve bilgisi dahilinde paylaşılmadığı kişi ve birimlerce kullanılmasını istemeyeceği, bu anlamda ilgili kişilere seçim hakkının verilmesi gerektiği, kişisel veri güvenliği hususunda yaşanabilecek riskler de göz önüne alındığında veri minimizasyonu ilkesi doğrultusunda hareket edilmesi gerektiği, bu doğrultuda kat görevlilerinin görevlerinin belirlendiği Housekeeping Task Sheet belgesinde konaklayanların isim ve soy isim bilgilerine yer verilmesi şeklinde gerçekleşen veri işleme faaliyetinin Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendindeki “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesini zedeleyeceği, mezkur belgede ilgili kişilerin isim ve soy isim bilgilerine yer verilmesi uygulamasına son verilmesinin gerektiği, 
  • Housekeeping Task Sheet başlıklı belgenin dolayısıyla ilgili kişiye ait kişisel verilerind üçüncü kişiler tarafından elde edilmesi şikâyeti ile ilgili veri sorumlusunun Kurum’a ilettiği Housekeeping Task Sheet başlıklı belgenin boş nüshası ile ilgili kişinin şikayetine ve paylaşıma konu oluşturduğunu iddia ettiği belgeye ilişkin ekran görüntüleri ile ilgili belge ekran görüntüsünün video kaydı karşılaştırmalarından, nüshaya uygun ibarelere yer verildiğinin anlaşıldığı,  
  • İlgili kişinin Kurum’a ilettiği belgelerden, üçüncü bir kişi ile sosyal medya uygulaması üzerinde yazışmalarda bulunduğu esnada mezkûr belgenin ilgili kişiyle paylaşıldığının ve şahsın veri sorumlusuna göre üçüncü bir şahıs olduğunun anlaşıldığı, belgeyi hangi suretle ele geçirdiğinin şahsa sorulması üzerine otelde çalışandan aldığını söylediği, ayrıca Başsavcılık nezdinde başlatılan soruşturma kapsamında alınan ifadesi kapsamında da otelde çalışan arkadaşı vasıtasıyla elde ettiğini beyan ettiği,
  • Başsavcılık nezdinde soruşturma başlatıldığı, ancak soruşturmanın konusunun cinsel dokunulmazlığa ve şerefe karşı işlenen eylemler nedeniyle ilgili kişi tarafından sosyal medya kullanıcısı şahsa karşı başlatıldığının anlaşıldığı, her ne kadar veri sorumlusunca Savcılık tarafından yürütülen soruşturmanın belgenin orijinal olup olmadığının tespiti bağlamında belirleyici olacağı beyan edilmişse de belgenin sahteliğinin tespitine yönelik veri sorumlusunca ayrıca bir işlem başlatıldığının tespit edilmediği, ayrıca veri sorumlusunun şahsın kimliği ve varlığı hususunda şüphelerinin bulunduğu iddialarının da ilgili kişi tarafından Kurum’a iletilen yazışma ekran görüntüleri karşısında tevsik edilmeye muhtaç iddialar olduğu, veri sorumlusunun ilgili kişinin kişisel verilerini ihtiva eden Housekeeping Task Sheet başlıklı belgenin sahte olduğu, şahsın kimliği ve varlığı hususunun şüpheli bulunduğu dolayısıyla bünyesinde bir veri ihlali yaşanmadığı hususlarındaki açıklamalarını tevsik edemediği,
  • Diğer yandan, veri sorumlusunca bünyelerinde mezkûr belgenin imha edildiği beyan edilmişse de belgenin imha edildiğini gösteren herhangi bir kaydın Kurum’a iletilmediği,
  • Bu doğrultuda, mezkur belgenin tahrifatlar ve ilgili kişi ile üçüncü kişi arasındaki konuşmalardaki çelişkiler nedeniyle veri sorumlusu bünyesi dışında oluşturulduğu iddialarının tevsik edilemediği gözetildiğinde, eldeki mevcut bilgi ve belgeler ışığında söz konusu belgenin hizmet içi hususları düzenlemek amacıyla veri sorumlusu bünyesinde oluşturulan bir belge olduğu, mezkur belgenin veri sorumlusunun bünyesindeki hizmetlerin yürütülmesi amacıyla yalnız personeli ile paylaşıldığı, somut olay kapsamında üçüncü bir kişi tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği, 
  • İlgili kişinin aydınlatma yükümlülüğünün yerine getirilmemesi şikayetine ilişkin veri sorumlusunun otelcilik faaliyetleri yürüttüğü dikkate alındığında konaklayan ilgili kişiler ile veri sorumlusu arasında bir sözleşme kurulduğu bu itibarla veri sorumlularının konaklayan ilgili kişilere ait pek çok kişisel veriyi Kanun’un 5’inci maddesinin 2’nci fıkrasının (c) bendi uyarınca “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanarak işlediği, web sayfasında sunulan aydınlatma metninde (bu metnin konaklama belgesi ekinde sunulan metinden de farklılık taşıdığı tespit edilmekle birlikte) iletişim bilgilerinin konaklama hizmetleri kapsamındaki rezervasyonların alınması ve takibi, rezervasyon kapsamında gerçekleştirilen işlemlere ilişkin iletişim sağlanması gibi amaçlar doğrultusunda Kanun’un 5’inci maddesinin 2’nci fıkrası kapsamındaki işleme şartlarına dayanılarak işlendiğinin ifade edildiğinin görüldüğü, 
  • Veri sorumlusunun Registraton Card/Konaklama Belgesi üzerinde yer vermiş olduğu “Sorumsuzluk Kaydı”nda konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini, bilgilerinin bu amaçla kullanılacağını kabul edeceğini, saklanacağını ve veri sorumlusunun hizmet alacağı üçüncü kişilerle paylaşılmasını kabul edeceğini belirttiği, öte yandan metnin İngilizce ifadelerinin yer aldığı sol kısmında aynı ibarelere yer verilmediğinin anlaşıldığı,
  • Registraton Card/Konaklama Belgesi düzenlenmesinin; 1774 sayılı Kimlik Bildirme Kanunu’nun 12’nci maddesine dayanılarak çıkarılan Kimlik Bildirme Kanununun Uygulanması ile İlgili Yönetmelik’in 23’üncü maddesindeki hüküm gereğince zorunlu olduğu, bu itibarla veri sorumlusunun bahse konu düzenleme nedeniyle hukuki bir yükümlülüğünün bulunduğu, bu itibarla ilgili kişilerin konaklama belgesini doldurmalarının ve imzalamalarının veri sorumlusunun sahip olduğu yasal bir yükümlülükten ileri geldiği ancak aynı belgede sorumsuzluk kaydı başlığı altında “konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini, bilgilerinin bu amaçla kullanılacağını kabul edeceğini, saklanacağını ve veri sorumlusunun hizmet alacağı üçüncü kişilerle paylaşılmasını kabul edeceği” düzenlemesinin veri işlemenin bir genel işlem şartı olarak ileri sürüldüğünü gösterdiği, 
  • Konaklama belgesini doldurma ve imzalamak zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesi halinde, kişisel verilerinin işlenmesi konusunda ilgili kişilerin iradelerinin sakatlanacağı, 
  • Bu doğrultuda konaklama belgesini imzalayan kişilerin, mevzuat gereği bu belgeyi imzalamakla yükümlü oldukları dikkate alındığında, ayrıca iletişim bilgilerinin reklam ve pazarlama amaçlı işlenmesini kabul edecekleri şeklinde hüküm derç edilmesinin açık rızanın özgür irade unsurunu sakatlayacağı

değerlendirmelerinden hareketle; 

  • Housekeeping Task Sheet belgesinde müşterilere ait isim ve soy isime yer verilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 4’üncü maddesi kapsamında ölçüsüz bir veri işleme faaliyeti olduğu, üçüncü kişilerle paylaşılmaya konu edilen Housekeeping Task Sheet belgesinde yer alan kişisel verilerin veri sorumlusu bünyesinde oluşturulduğu ve üçüncü kişiler tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği kanaatine varıldığından Kanun’un 12’nci maddesi uyarınca kişisel verilere hukuka aykırı olarak erişilmesini önlemek yükümlülüğü ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri alma yükümlülüğünün sağlanamadığı dikkate alındığında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 500.000 TL idari para cezası uygulanmasına, 
  • Housekeeping Task Sheet belgesinde müşterilere ait isim ve soy isime yer verilmemesine yönelik olarak belgelerin düzenlenmesi ve sonucundan Kurul’a bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına, 
  • Aydınlatma yükümlülüğünün yerine getirilmemesi şikâyeti doğrultusunda; konaklama belgesi ekinde sunulan aydınlatma metni ile web sayfasında bulunan aydınlatma metinlerinin farklılıklarının giderilmesini teminen gerekli düzenlemeleri yapması, öte yandan konaklama belgesini doldurma ve imzalamak zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesinin açık rızanın özgür irade unsurunu sakatlayacağı, bu doğrultuda veri sorumlusunun mezkûr belge üzerindeki Sorumsuzluk Kaydını revize etmesi ve iletişim bilgilerini reklam ve pazarlama amaçlı işleme konusunda aydınlatma metninde belirttiği şekilde Kanun hükümlerine uygun olarak ayrıca açık rıza alma yoluna gitmesi ve yapılacak işlemlerin sonucundan Kurul’a bilgi vermesi hususunda talimatlandırılmasına 

karar verilmiştir.

Editör: Elif Kosedag